Kontrole wewnętrzne (albo kontrole „u podległych”) to temat, który wraca jak bumerang. Ktoś widzi w BIP hasło „kontrola”, pyta o protokół, a w jednostce zaczyna się stres: czy to w ogóle jest informacja publiczna, czy trzeba to publikować, i co zrobić, jeśli w protokole są nazwiska, zarzuty, dane osobowe albo wątki wrażliwe.
Najprościej: protokół z kontroli co do zasady jest informacją publiczną, bo opisuje działanie jednostki, sposób wykonywania zadań i gospodarowanie środkami. Ale to nie znaczy, że masz wrzucać cały dokument „jak leci” do BIP. W praktyce najbezpieczniej działa model: publikujesz w BIP krótką informację o wyniku / zaleceniach, a pełny protokół udostępniasz na wniosek (z anonimizacją tam, gdzie trzeba). Jeśli chcesz odświeżyć podstawy, zobacz też: Wniosek o informację publiczną oraz Czy BIP podlega RODO?.
TL;DR: czy protokół kontroli wewnętrznej jest jawny i czy ma być w BIP?
Tak, co do zasady protokół kontroli jest informacją publiczną (opisuje fakty, ustalenia, zalecenia, działanie jednostki).
Nie ma obowiązku publikowania każdego protokołu w BIP „w całości”. BIP to jedno z narzędzi – drugie to udostępnienie na wniosek.
W BIP warto dać minimum: informację, że kontrola była, zakres, daty, najważniejsze ustalenia i zalecenia (bez danych wrażliwych).
Pełny protokół najczęściej udostępnia się na wniosek, po anonimizacji (dane prywatne, skargi, świadkowie, adresy, numery, itp.).
Nie zasłaniaj się hasłem „dokument wewnętrzny”, jeśli to jest finalny protokół/raport – to częsty błąd.
Czy protokół kontroli wewnętrznej to informacja publiczna?
Jeśli mówimy o finalnym protokole (czyli dokumencie, który zamyka kontrolę, zawiera ustalenia, ocenę i często zalecenia), to najbezpieczniejsze podejście jest takie: tak – to informacja publiczna. Dlaczego? Bo dotyczy działalności jednostki publicznej: jej procedur, wydatków, organizacji, realizacji zadań.
Uwaga na pułapkę: czasem w jednostkach słyszy się „to dokument wewnętrzny, nie podlega”. W praktyce ten argument przegrywa zwłaszcza wtedy, gdy dokument opisuje konkretne ustalenia i efekty kontroli, a nie jest tylko roboczą notatką lub luźnym „pomysłem”.
Co zwykle jest mylone z protokołem? robocze notatki, wersje robocze, korespondencja „w trakcie”, szkice. One częściej mogą podpadać pod „materiały robocze”. Ale protokół podpisany / zamykający kontrolę to inna liga.
Czy trzeba publikować protokół kontroli w BIP?
Najczęściej: nie musisz publikować całego protokołu w BIP. Ustawa daje kilka trybów udostępniania informacji: część rzeczy idzie do BIP „z automatu”, a część udostępnia się na wniosek. To normalne, że protokoły kontroli częściej „żyją” w trybie wnioskowym.
Ale: z perspektywy porządku i transparentności, warto mieć w BIP przynajmniej zakładkę typu „Kontrole i audyty” z krótkimi kartami kontroli (zakres, daty, najważniejsze wnioski, zalecenia). To ogranicza liczbę wniosków i usuwa podejrzenie, że „coś zamiatamy”.
Co udostępniasz?
Najbezpieczniejszy tryb
Dlaczego tak?
Informacja, że kontrola była + zakres + daty
BIP
Minimum transparentności, bez ryzyk danych osobowych.
Najważniejsze ustalenia i zalecenia (bez danych prywatnych)
BIP
Użytkownik widzi „efekt”, a Ty nie publikujesz wrażliwych szczegółów.
Pełny protokół kontroli
Wniosek o informację publiczną
Łatwiej zrobić anonimizację i kontrolę przed udostępnieniem.
Załączniki (np. wyjaśnienia pracowników, skargi, dane świadków)
Wniosek (z ostrożnością)
Najczęściej zawierają dane prywatne lub wątki wrażliwe.
Co można wyciąć lub zanonimizować w protokole?
To jest klucz: jawność działania jednostki nie oznacza jawności prywatności ludzi. W protokołach kontroli najczęściej do anonimizacji wpada:
dane osób składających skargi/zgłoszenia (imiona, nazwiska, adresy, telefony, e-maile),
dane świadków i osób „pobocznych”,
adresy zamieszkania, PESEL, numery dokumentów, dane rodzinne,
dane wrażliwe „przy okazji” (zdrowie, sytuacja rodzinna, sprawy socjalne),
szczegóły bezpieczeństwa (np. podatności IT, hasła, konfiguracje, procedury ochrony),
tajemnice prawnie chronione (np. tajemnica przedsiębiorstwa w umowach/rozliczeniach – jeśli realnie występuje).
Jeśli w protokole pojawiają się nazwiska pracowników, to nie zawsze jest „automatycznie do usunięcia”. Różnica jest prosta: czy to dane niezbędne do zrozumienia działania jednostki, czy tylko „wtręt”, który nic nie wnosi do przejrzystości. Zasada minimalizacji robi robotę. Kontekst RODO masz też tutaj: Czy dane osobowe mogą być publikowane w BIP zgodnie z RODO?.
Najlepsza praktyka: „karta kontroli” w BIP + protokół na wniosek
Jeśli chcesz mieć porządek i spokój, ustaw prosty standard publikacji:
W BIP dodajesz stronę/sekcję „Kontrole i audyty”.
Dla każdej kontroli publikujesz kartę kontroli: kto kontrolował, kogo, zakres, daty, wynik (ogólnie), najważniejsze zalecenia, termin realizacji.
Jeżeli publikujesz dokument – to wersję po anonimizacji i bez „załączników z życia”.
Pełny protokół i materiały źródłowe: na wniosek.
Ten model ma jedną ogromną zaletę: użytkownik widzi, że jednostka działa i reaguje, a Ty kontrolujesz ryzyko ujawnienia danych osobowych. Do ogarnięcia procesu (kto publikuje, kto sprawdza, kto anonimizuje) przyda Ci się też: Kto odpowiada za BIP i jakie ma obowiązki?.
Co zrobić, gdy ktoś żąda protokołu „na już” (wniosek o informację publiczną)?
Jeżeli dostajesz wniosek o protokół kontroli, to najważniejsze są trzy kroki:
Zweryfikuj, czy masz finalny dokument (podpisany/zamknięty). Jeśli kontrola trwa i masz tylko szkice – opisz to jasno.
Zrób anonimizację danych prywatnych i wątków wrażliwych (tak, żeby nadal było wiadomo „o co chodzi”).
Udostępnij w formie kopii (PDF) albo wskaż miejsce publikacji, jeśli wrzuciłeś wersję do BIP.
Jeżeli to finalny protokół/raport z ustaleniami i efektami kontroli, to taka odmowa bywa ryzykowna. „Dokument wewnętrzny” częściej dotyczy materiałów roboczych, szkiców i notatek. Bezpieczniej jest udostępnić protokół po anonimizacji niż iść w odmowę „z automatu”.
Czy w BIP mam wrzucić cały protokół, czy wystarczy podsumowanie?
Najczęściej wystarczy podsumowanie (karta kontroli + zalecenia). Cały protokół możesz udostępniać na wniosek. Jeśli publikujesz całość, rób to jako wersję po anonimizacji, bez wrażliwych załączników.
Czy nazwiska pracowników z protokołu muszą zniknąć?
Nie zawsze. Patrz na sens: czy nazwisko jest niezbędne do zrozumienia sprawy i dotyczy wykonywania zadań publicznych, czy jest tylko dodatkiem. W praktyce najczęściej usuwa się dane osób „pobocznych”, świadków, skarżących i dane prywatne, a zostawia informacje potrzebne do transparentności (albo podaje stanowiska zamiast nazwisk).
Co z protokołem, w którym są wątki bezpieczeństwa IT?
Tu ostrożność jest większa. Szczegóły podatności, konfiguracje, elementy, które realnie zwiększają ryzyko ataku lub obejścia zabezpieczeń – zwykle nie powinny iść „publicznie” wprost. W takich przypadkach lepiej udostępnić protokół w wersji z wyłączeniami/anonimizacją tych fragmentów.
Czy mogę poprawić protokół po publikacji w BIP?
Tak, ale nie rób „podmiany bez śladu”. Najlepiej: usuń/ukryj błędną wersję, dodaj poprawioną oraz zostaw krótką adnotację o korekcie (data, powód: np. anonimizacja danych). Jeśli masz proces wersjonowania, temat domkniesz tu: Rejestr wersji dokumentów w BIP na WordPress.
Podsumowanie
Protokół kontroli wewnętrznej najczęściej jest informacją publiczną, ale rozsądna publikacja to nie jest wrzucenie „pełnego PDF-a” bez czytania. Najlepiej działa praktyka: BIP = karta kontroli + wnioski/zlecenia, a pełny protokół = na wniosek (z anonimizacją). To daje transparentność i ogranicza ryzyko wpadek z danymi osobowymi.
